Resumen: Análisis de lo más importante o novedoso en relación a la propuesta de la Comisión Europea para regular la protección de datos personales en la Unión Europea en las próximas décadas.
|
Autor del artículo
|
Colaboración
| |
|
EMILIO
ACED FÉLEZ
|
| |
|
Actualizado
|
9 de Enero de 2013
|
|
ÍNDICE
1.
INTRODUCCIÓN
2.
ANÁLISIS DE LO MÁS IMPORTANTE O NOVEDOSO2.1. El instrumento jurídico elegido
2.2. Ámbito de aplicación
2.3. Menores de edad
2.4. Transparencia y lealtad de los tratamientos
2.5. Derecho al olvido
2.6. Derecho a la portabilidad de los datos
2.7. Diligencia debida y rendición de cuentas
2.8. Protección de datos desde el diseño
2.9. Obligatoriedad de notificar violaciones de seguridad
2.10. TID (Transferencias Internacionales de Datos)
2.11. Consejo Europeo de Protección de Datos
3. CONCLUSIONES
4. BIBLIOGRAFIA CONSULTADA
5. DERECHOS DE AUTOR
1. INTRODUCCIÓN
Los
motivos para este movimiento regulatorio eran de índole variada. Abarcaban
desde el impacto que las nuevas tecnologías de la información y las
comunicaciones aparecidas en los últimos años han tenido en la privacidad hasta
la necesidad de minimizar las diferencias entre las legislaciones de los
distintos países europeos en este campo y, así, evitar trabas a la libre
circulación de los datos personales dentro de las propias fronteras de la Unión.
También
se pretendía la mejora de las normas sobre transferencias internacionales para
hacer frente a los retos de la globalización, una definición clara de las
obligaciones de los responsables de los tratamientos de datos personales y el
refuerzo del papel y los poderes de las autoridades independientes de
protección de datos. Y, por supuesto, como objeto esencial y primario, la mejor
defensa de los derechos fundamentales de las personas en lo que se refiere al
tratamiento de sus datos personales.
Además,
las previsiones del Tratado de Lisboa (2), que entró en vigor el 1 de diciembre
de 2009, además de reconocer la protección de datos personales como un derecho
fundamental de los ciudadanos europeos y de dotar de carácter vinculante a la Carta
de Derechos Fundamentales de la Unión Europea (3) -que ya recogía este derecho
desde el año 2000- disponía que el legislador europeo establecería las normas
sobre protección de las personas físicas respecto del tratamiento de datos de
carácter personal y, por ello, la Propuesta de la Comisión Europea es también
una respuesta a este mandato de los tratados.
Sentados
cuales serían los objetivos y razones más importantes que han motivado la
puesta en marcha del proceso legislativo para dotar a Europa de un nuevo marco
normativo en la esfera de la protección de datos personales, en las próximas
páginas se analizarán brevemente los elementos más relevantes o novedosos de la
propuesta de la Comisión Europea aunque, en cualquier caso, se recomienda
encarecidamente su lectura integral por la riqueza de su contenido y el interés
de sus disposiciones.
2.1. El instrumento jurídico elegido
En
primer lugar hay que hacer una rápida mención al instrumento jurídico elegido y
sus implicaciones en el proceso de implantación de la norma. En efecto, la
Comisión Europea ha decidido que su propuesta se basaría en un reglamento y no
en una directiva como la existente actualmente -Directiva 95/46/CE (4)- ya que
lo ha juzgado un medio más idóneo para conseguir los objetivos de armonización
que se ha propuesto. La razón es que un reglamento es una norma de aplicación
directa a los Estados miembros sin posibilidad de que estos lleven a cabo
ninguna modificación de la misma. Al mismo tiempo, tampoco requiere de ningún
proceso de transposición al derecho nacional -como ocurre con las directivas-
lo que evita que los legisladores nacionales se desvíen del texto que en su día
aprueben el Parlamento Europeo y el Consejo de la Unión Europea.
En
cuanto al objeto de la Propuesta, éste no difiere en lo esencial del que
establece la actual Directiva. Se trata de proteger los derechos y libertades
fundamentales de las personas físicas y, en particular, su derecho a la
privacidad, cuando se tratan sus datos personales y, al mismo tiempo,
garantizar la libre circulación de dichos datos personales dentro de las
fronteras de la Unión.
2.2. Ámbito de aplicación
Por
lo que respecta al ámbito de aplicación territorial, la Propuesta sí introduce
cambios muy significativos respecto del régimen actual de la Directiva. En
concreto, además de reafirmar que se aplica a los datos tratados, en el marco
de sus actividades, por responsables o encargados de tratamiento establecidos
en la Unión Europea o en aquellos lugares fuera de la UE en el que sea de
aplicación la legislación de un Estado miembro (por ejemplo, una embajada),
establece que la norma también podrá aplicarse al tratamiento de datos de
personas que residan en la Unión aunque el responsable del tratamiento no esté
establecido en la misma si las actividades de tratamiento estén relacionadas
con la oferta de bienes o servicios a dichos interesados en la Unión o el
control de su conducta.
Este
último apartado tiene consecuencias muy importantes ya que significaría la
aplicación de la norma europea a organizaciones que no están establecidas en
territorio europeo pero que tienen clientes u ofertan sus servicios a personas
que sí residen en Europa o, simplemente, realizan cualquier tipo de seguimiento
de las conducta del usuario europeo, por ejemplo, instalando en su disco duro tracking
cookies para monitorizar la navegación del mismo con el objetivo de
construir un perfil que responda a sus gustos, necesidades y aficiones para
personalizar las acciones publicitarias dirigidas a él.
2.3. Menores de edad
También
es interesante que, por primera vez en una norma europea sobre privacidad, se
dedique un apartado específico a la protección de datos de los menores de edad
(niños, en la definición que hace la propuesta, refiriéndose a los menores de
dieciocho años). En concreto, se establece que en el caso de oferta directa de
servicios de la sociedad de la información a los niños, el tratamiento de los
datos personales de aquellos menores de trece años requerirá el consentimiento
del padre o tutor del niño que deberá ser verificable en función de la
tecnología disponible.
2.4. Transparencia y
lealtad de los tratamientos
Asimismo,
en relación con la transparencia y lealtad de los tratamientos, la Propuesta
hace un especial hincapié en que cualquier información que se deba facilitar a
los interesados se haga en forma inteligible y utilizando un lenguaje claro,
sencillo y adaptado a los mismos y, de forma muy especial, cuando dicha
información se dirija específicamente a los niños.
2.5. Derecho al olvido
Otro
aspecto muy relevante y que sin duda es el que más tinta ha hecho correr tanto
entre sus defensores como entre sus detractores es el llamado “derecho al
olvido”. En realidad no se trata de ningún concepto novedoso u original sino de
una formulación adaptada al mundo de las redes globales de comunicaciones del
tradicional derecho de cancelación de los datos personales.
Del
análisis de la Propuesta se deduce claramente que, como se acaba de mencionar,
estamos en presencia de una evolución del derecho de cancelación pues el
“derecho al olvido” se define como el derecho del interesado a que el
responsable del tratamiento suprima los datos personales que le conciernen y se
abstenga de darles más difusión, especialmente en lo que respecta a los datos
personales proporcionados por el interesado siendo niño (y, aquí, de nuevo, se
tiene en consideración de una manera especial a los menores) cuando los mismos
ya no son necesarios para los fines para los que fueron recogidos, el
interesado retira el consentimiento o se opone legítimamente a su tratamiento o
dicho tratamiento vulnera la regulación sobre privacidad.
La
novedad reside en que, a continuación, la Propuesta indica que si los datos se
han hecho públicos (pensando, fundamentalmente, en su difusión a través de
Internet) el responsable de dicha publicación, además de suprimirlos de sus
propios sistemas, adoptará todas las medidas razonables, incluidas las de
carácter técnico, para informar a los terceros que estén tratando dichos datos
de que deben suprimir cualquier enlace a esos datos personales, o cualquier
copia o réplica de los mismos.
Además,
si el responsable del tratamiento ha autorizado a un tercero a publicar datos
personales, será considerado responsable de esa publicación y, por lo tanto, de
la falta de diligencia que los terceros puedan tener a la hora de retirar la
información solicitada.
No
obstante, el derecho al olvido tiene salvedades ya que no procederá si la
permanencia de los datos es necesaria para el ejercicio del derecho a la
libertad de expresión, por motivos de interés público en el ámbito de la salud
pública, con fines de investigación histórica, estadística y científica o para
el cumplimiento de una obligación legal de conservar los datos personales.
En
lugar de suprimir la información, el responsable limitará el acceso y el
tratamiento de la misma (lo que se conoce como bloqueo de los datos personales)
cuando el interesado impugne su exactitud (manteniéndolos durante un plazo que
permita verificarla), cuando deban conservarse a efectos probatorios, cuando el
tratamiento sea ilícito y el interesado se oponga a su supresión y solicite en
su lugar la limitación de su uso o cuando el interesado solicite la transmisión
de los datos personales a otro sistema de tratamiento automatizado.
Finalmente,
la Propuesta obliga a que el responsable ponga en marcha mecanismos adecuados
que garanticen, primero, la fijación de los plazos de conservación de la
información y, segundo, los mecanismos necesarios para asegurar que se respetan
los plazos fijados para la supresión de datos personales o, en su caso, la
evaluación periódica de la necesidad de conservar los datos (recientemente
–noviembre de 2012- ENISA, la Agencia Europea de Seguridad de las Redes y la
Información, ha publicado un estudio sobre los aspectos prácticos de la
implantación del derecho al olvido: The right to be forgotten – between
expectations and practice) (5).
2.6. Derecho a la portabilidad
de los datos
Otra
importante novedad es la que se refiere al derecho a la portabilidad de datos:
la Propuesta afirma el derecho del interesado a obtener copia de sus datos en
un formato electrónico estructurado y comúnmente utilizado que le permita
seguir utilizándolos.
Del
mismo modo, si el tratamiento de los datos suministrados por el interesado se
lleva a cabo basado en el consentimiento o en un contrato, éste tendrá derecho
a transmitir dichos datos y cualquier otra información que haya facilitado al
sistema de otro proveedor de servicios sin ningún impedimento. Esta transmisión
se efectuará en un formato electrónico comúnmente utilizado que permita su
fácil integración en el nuevo sistema.
Se
trata, pues, de garantizar la libre elección de proveedor de servicios
electrónicos y de evitar la dependencia de los usuarios de un único proveedor
que utilice sistemas propietarios de tratamiento de la información.
2.7. Diligencia debida y
rendición de cuentas
Igualmente,
se procede al fortalecimiento de la obligación de diligencia debida y de
rendición de cuentas de los responsables de tratamiento (accountability) con
medidas tales como la introducción de la obligatoriedad de documentar
adecuadamente las operaciones de tratamiento de datos personales o la de
nombrar un encargado de protección de datos independiente DPO (Data Protection
Officer) en las Administraciones Públicas, en las empresas de más de doscientos
cincuenta trabajadores o en las que, aún no alcanzando este número de
trabajadores, su actividad principal esté vinculada al tratamiento de datos de
carácter personal.
También
se introduce la obligación de llevar a cabo una Evaluación de Impacto relativa
a la Protección de Datos (conocida internacionalmente por el término inglés PIA
o Privacy Impact Assessment) cuando las operaciones de tratamiento entrañen
riesgos específicos para los derechos y libertades de los interesados en razón
de su naturaleza, alcance o fines.
El
contenido mínimo de esta evaluación incluirá una descripción general de las
operaciones de tratamiento previstas, una evaluación de los riesgos para los
derechos y libertades de los interesados, las medidas contempladas para hacer
frente a dichos riesgos y las garantías, medidas de seguridad y mecanismos
destinados a salvaguardar la protección de datos personales y a probar la
conformidad con la legislación de protección de datos.
Si
la evaluación de impacto indica que es probable que el tratamiento de datos
personales de que se trate entrañe un elevado nivel de riesgos específicos para
los derechos y libertades de los interesados, será obligatorio consultar a la
autoridad de control independiente competente en materia de protección de datos
para garantizar la conformidad del mismo con la normativa de protección de
datos y atenuar los riesgos detectados.
La
autoridad de control de protección de datos también podrá determinar la
obligatoriedad de que se proceda a consultarla previamente en aquellas
operaciones que considere potencialmente peligrosas para la privacidad de las
personas y, para ello, establecerá y hará pública una lista detallando los
tratamientos de datos personales sometidos a este control previo.
2.8. Protección de datos
desde el diseño
La
Propuesta introduce también los conceptos de protección de datos desde el
diseño y por defecto, exigiendo del responsable que implante, desde los
primeros momentos de concepción y diseño de un nuevo sistema de información,
las medidas y procedimientos técnicos y organizativos apropiados para
garantizar su conformidad con la normativa de protección de datos y, así,
garantizar los derechos y libertades de las personas cuyos datos serán
tratados.
Igualmente,
se deberá garantizar que, por defecto, solo se traten los datos personales
estrictamente imprescindibles para la finalidad o finalidades legítimas del
tratamiento y que no se conserven más allá del tiempo mínimo necesario para
conseguir dichas finalidades y, en particular, se garantizará que, también por
defecto, los datos personales no sean accesibles a un número indeterminado de
personas.
2.9. Obligatoriedad de
notificar violaciones de seguridad
En
el apartado de medidas de seguridad, la novedad más llamativa de la propuesta
–aparte de la obligatoriedad de lleva a cabo un análisis de riesgos de
seguridad para determinar las medidas que se deben de implantar- tiene que ver
con la obligatoriedad de notificar las violaciones de la seguridad de los datos
personales a la autoridad de control en un plazo máximo de veinticuatro horas
desde que se tiene conocimiento de las mismas.
También
será forzoso notificarlas a los interesados afectados por las mismas salvo que
el responsable del tratamiento demuestre de manera satisfactoria para la
autoridad de control que había implantado medidas de seguridad que hacían
ininteligibles los datos (generalmente mediante un mecanismo de cifrado lo
suficientemente robusto) para cualquier persona no autorizada a acceder a
ellos. No obstante, la autoridad de control podrá exigir en cualquier momento
la notificación a los interesados si lo considera necesario para minimizar o
paliar los probables efectos negativos de la violación de seguridad ocurrida.
2.10. TID (Transferencias
Internacionales de Datos)
En
cuanto a las transferencias internacionales de datos, no se introducen grandes
novedades conceptuales pero se flexibiliza el régimen de autorizaciones y,
además, se introducen mecanismos para armonizar las decisiones de las distintas
autoridades de control cuando las transferencias afecten a responsables
establecidos en varios Estados miembros.
2.11. Consejo Europeo de
Protección de Datos
Finalmente,
hay que resaltar el reforzamiento del marco institucional para una mejor
aplicación de las normas de protección de datos y de los poderes de las
autoridades de control independientes, en particular, mediante la creación del
Consejo Europeo de Protección de Datos que las agrupará y tendrá poderes de
armonización a través del mecanismo de coherencia.
3. CONCLUSIONES
Así
pues, como conclusión de este apresurado repaso a un denso y extenso proyecto
de norma europea de protección de datos, hay que señalar que se trata de una
propuesta muy ambiciosa, con vocación de establecer los principios esenciales
de la protección de datos en la Unión Europea en las próximas décadas y que,
caso de ser aprobada en su concepción actual y siguiendo las líneas esenciales
de la misma, significará un gran paso en la armonización y consolidación del
modelo europeo de protección de datos personales.
4. BIBLIOGRAFÍA CONSULTADA
- (1)
PARLAMENTO EUROPEO Y CONSEJO.
Bruselas 25 de Enero 2012. “Propuesta de Reglamento relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos
datos (Reglamento general de protección de datos)”.
PROPUESTA DE REGLAMENTO
- (2) Diario
Oficial de la Unión Europea. 17 de Diciembre de 2007. “TRATADO DE LISBOA
POR EL QUE SE MODIFICAN EL TRATADO DE LA UNIÓN EUROPEA Y EL TRATADO
CONSTITUTIVO DE LA COMUNIDAD EUROPEA”. (2007/C 306/01).
TRATADO DE LISBOA
- Diario
Oficial de la Unión Europea. Luxemburgo, 30 de Marzo de 2010. “VERSIONES
CONSOLIDADAS DEL TRATADO DE LA UNIÓN EUROPEA Y DEL TRATADO DE FUNCIONAMIENTO DE
LA UNIÓN EUROPEA”. (2010/C 83/01).
VERSIONES CONSOLIDADAS
- (3) Diario Oficial de la Unión Europea. 30
de Marzo de 2010. “CARTA DE LOS DERECHOS FUNDAMENTALES DE LA UNIÓN EUROPEA”. (2010/C
83/02).
CARTA DE LOS DERECHOS
FUNDAMENTALES
- (4) Diario Oficial de las Comunidades Europeas.
23 de Noviembre de 1995. “DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL
CONSEJO de 24 de octubre de 1995 relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos”.
DIRECTIVA
95/46/CEEL DERECHO AL OLVIDO
OPINION WP191
- Peter Hustinx (European Data
Protection Supervisor). Bruselas, 7 de Marzo de 2012. “Opinion of the uropean Data Protection
Supervisor on the data protection reform package”.
OPINION EDP SUPERVISOR
5.
DERECHOS DE AUTOR.
Imágenes bajo licencia 123RF internacional.
La presente obra y su título están protegidos por
el derecho de autor. Las denominadas obras derivadas, es decir, aquellas
que son el resultado de la transformación de ésta para generar otras basadas en
ella, también se ven afectadas por dicho derecho.
Sobre
el autor:
Emilio Aced Félez es Jefe de Área en la AEPD
(Agencia Española de Protección de Datos). Ha
trabajado profesionalmente en el campo de la protección de datos personales
desde el año 1995 habiendo desempeñado puestos como Subdirector General de
Registro de Ficheros y Consultoría y Subdirector de Inspección y Tutela de
Derechos en la APDCM (Agencia de Protección de Datos de la Comunidad de Madrid)
y Subdirector General de Inspección y Adjunto al Director en la AEPD.
Es Licenciado en Matemáticas (Sección de Ciencias de
la Computación) por la Universidad Complutense de Madrid, Máster en Estadística
e Investigación Operativa por la misma universidad y Máster en Dirección de
Sistemas y Tecnologías de la Información por la Universidad Politécnica de
Madrid.
NOTA DEL EDITOR: La primera publicación de éste artículo se ha producido
en el número 3 de la Revista Latinoamericana de Protección de Datos Personales
(www.rlpdp.com).
NOTA DEL EDITOR: (1) Para focalizar sobre la figura del DPO (Data Protection
Officer) a la que hacen referencia los Artículos 35, 36 y 37 del borrador de
Reglamento europeo, puede consultarse un artículo monográfico en éste mismo
Blog:
(2) Para un análisis comparativo del
borrador del Reglamento publicado el 25 de enero de 2012 por la Comisión
Europea, de modo que permita conocer en detalle todos los aspectos regulados,
el resultado de su comparación con la normativa española vigente, y el posible
impacto que tendrá sobre las entidades públicas o privadas, puede también consultarse
en este mismo Blog:
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.